勒索软件攻击生命周期的运营分析

勒索软件不仅仅是锁定文件，而是一种多阶段、协同的入侵。它不像病毒，更像是一场抢劫：有计划、有策略、破坏性极强。威胁行为者有条不紊地入侵网络、提升权限、窃取数据，然后部署加密——所有这些都是在不为人知的情况下进行的。我见过一些公司被这些行动搞得一蹶不振。为了有效防御勒索软件，您必须了解其生命周期和攻击者利用的工具，尤其是Active Directory、Kerberos和域控制器等核心企业技术。

获得管理员权限后，攻击者开始在网络中移动——这一阶段称为横向移动。他们使用窃取的凭证进行哈希传递等攻击，或利用PSExec和WMI等受信任的工具来保持隐蔽。他们的主要目标是域控制器；一旦被攻陷，他们就能控制整个网络。像Ryuk这样的攻击表明，威胁行为者能够使用SMB和RDP等工具快速横向移动，而不会触发警报。

接下来是数据盗窃和加密。在加密文件之前，攻击者通常会使用Rclone等工具窃取敏感信息（例如客户数据或商业机密）。然后，他们部署勒索软件，加密整个环境中的数据。双重勒索如今已屡见不鲜：如果受害者拒绝支付赎金，攻击者不仅会拒绝访问关键文件，还会威胁泄露被盗数据。此外，备份也经常被删除，彻底断绝恢复途径。

这也是防御者检测和响应的关键窗口。了解攻击者如何利用Active Directory、Kerberos和域控制器，可以让您获得必要的洞察力，从而在为时已晚之前破坏他们的操作。

初始访问

勒索软件攻击通常始于初始访问——攻击者在发起全面攻击之前悄悄渗透网络。这种访问通常是通过技术漏洞和人为错误相结合的方式获得的。此阶段的一个重要环节是雇佣渗透测试人员——这些技术娴熟的入侵者会入侵系统，然后将访问权出售给勒索软件组织。这些攻击者活跃于地下论坛，例如xss.is、exploit.in、BreachForums，尤其是RAMP，在这些论坛上，网络访问权的交易价格从200 美元到3,000 美元不等，具体取决于目标的规模和价值。

买家通常会使用ZoomInfo等平台来评估一家公司的年收入。如果收入低于500 万美元，他们通常会放弃——回报不值得冒这个险。买家主要关注美国和欧洲的大型组织，因为这些地区严格的数据隐私法（如GDPR ）会给快速付款带来额外的压力。如果渗透测试人员成功访问域控制器 (DC)，要价可能会上涨高达 80%，因为访问 DC 可以完全控制目标网络。

基于漏洞的初始访问

攻击者会主动扫描面向互联网的易受攻击的系统，例如RDP、VPN 设备以及Microsoft Exchange等企业软件。他们会利用ProxyLogon或Log4j等知名漏洞来获取未经授权的访问权限。Nmap 、Nessus和Metasploit等工具通常用于识别和利用这些漏洞。

如果发现暴露的RDP 端口密码较弱，攻击者可能会暴力破解或使用窃取的凭证进入系统。这些漏洞的利用代码经常在像exploit.in这样的地下论坛上交易。漏洞越严重，市场价值就越高。——

SIM卡交换和社会工程学

网络钓鱼仍然是最常见的初始访问方法之一。攻击者会精心制作看似来自经理、人力资源代表或受信任供应商的电子邮件。这些电子邮件通常包含恶意附件（通常是带有嵌入宏的 Word 文档）或指向与合法登录页面非常相似的虚假登录页面的链接。打开文档或在欺骗网站上输入凭据会安装恶意软件（例如Emotet、TrickBot或Qakbot），从而使攻击者在网络中立足。渗透测试人员经常使用类似的技术，创建旨在触发紧迫感的令人信服的消息（例如虚假的密码重置通知）。许多人依靠现成的网络钓鱼工具包（可在RAMP上轻松获取）来有效地发起大规模活动。

先前数据泄露事件中泄露的凭证是攻击者常用的切入点。他们使用这些被盗的用户名和密码尝试登录 VPN、RDP 或 Office 365 等服务——这种策略被称为凭证填充。在多个平台上重复使用密码的用户尤其容易受到攻击。渗透测试人员通常通过网络钓鱼活动或键盘记录器收集这些凭证，然后在BreachForums等论坛上出售。

使用泄露的密码进行凭证填充

在DarkAtlas 威胁情报平台，我们维护着最大的受损凭证和信息窃取者日志集合之一，提供关键见解，帮助组织更快地检测和应对这些威胁。

另一种有效的策略是通过第三方供应商锁定公司。这些供应链攻击执行起来更为复杂，但可能造成大范围破坏。例如，在SolarWinds 数据泄露事件中，攻击者在软件更新中植入恶意软件，导致数千家组织机构遭受攻击。同样，Kaseya 事件导致勒索软件通过托管服务提供商部署到众多客户。渗透测试人员通常关注安全控制措施较弱的小型供应商，尤其是那些与大型企业相关的供应商。通过这些供应商获得的访问权限，在RAMP或xss[.]is等论坛上可以赚取2,000 至 3,000 美元，因此这是一种高风险、高回报的策略。

漏洞利用工具包和恶意广告活动

有时，攻击者会入侵合法网站或投放恶意广告，在用户访问页面时悄悄安装恶意软件。这些路过式下载通常利用过时的浏览器插件（例如Flash或Java） ，并通过Rig或Neutrino等漏洞利用工具包进行传播。渗透测试人员会设置这些陷阱，并在BreachForums等论坛上出售由此获得的网络访问权限，价格通常为300 至 800 美元，具体取决于受感染网络的规模和价值。这些攻击隐蔽、快速且易于扩展。

有时，漏洞来自内部。心怀不满的员工或承包商可能会出售勒索软件组织的访问权限——从VPN凭证和管理员密码到完整的域控制器登录信息，不一而足。渗透测试人员积极通过RAMP或xss.is等论坛招募内部人员，通常会提供超过8,000美元的直接访问权限。虽然内部威胁不太常见，但它们尤其危险，因为它们可以绕过大多数安全控制措施，使检测和响应更加困难。

权限提升

一旦勒索软件攻击者在侦察过程中完成网络映射，下一步就是提升权限——从低级账户升级到具有更高权限的账户，例如域管理员。在 Windows 环境中，Active Directory (AD)成为主要战场，而身份验证协议Kerberos则是关键目标。在此阶段，攻击者会利用Kerberoasting、令牌模拟和凭证转储等技术来获得完全控制权。本节概述了他们如何利用 Kerberos 和其他漏洞来提升权限，并使用各种工具和策略控制网络。

最后阶段：数据泄露和加密

勒索软件运营商将其最具破坏性的行动留到最后阶段——数据泄露和加密。泄露涉及窃取敏感数据，例如客户信息、财务记录和专有源代码。这使得双重勒索策略成为可能，受害者不仅被迫付费以重新获得访问权限，还要付费以防止公共数据泄露。加密会使系统无法使用，没有解密密钥就无法恢复。本节从技术角度分解了攻击者如何使用StealBit、Exmatter、Rclone等工具和Tox等点对点方法以及半加密和ZIP 头损坏等技术来泄露和加密数据。包括Colonial Pipeline和JBS Foods在内的现实世界事件说明了这些策略的实际应用。

有针对性的数据泄露

数据泄露是指窃取高价值文件并将其传输到攻击者控制的服务器。这是双重勒索攻击的关键步骤。威胁行为者会优先考虑敏感文件，例如数据库、知识产权和财务文件。他们使用定制工具和开源实用程序来自动化此过程，以确保隐秘性和快速性。

StealBit（由 LockBit 使用）

StealBit是一款专为速度和简便性而设计的工具。LockBit 的关联公司使用它来扫描受害者系统，根据扩展名（例如 、、.docx）或目录（例如）识别高价值文件。它会压缩文件以减少带宽占用，并通过 HTTP 或 FTP 传输文件。在许多情况下，StealBit 会自动运行，在上传之前将文件复制到暂存文件夹。StealBit 的设计初衷是在勒索软件部署之前快速进行数据泄露，就像埃森哲数据泄露事件中那样。.pdf.sqlC:Data

Exmatter（由 BlackMatter 和 Conti 使用）

Exmatter采用 .NET 开发，主要攻击源代码、CAD 设计图和.rdp快捷方式等文件类型。它会扫描所有驱动器，但会避开系统文件夹，以便专注于操作数据。该工具会通过 SFTP 或 WebDAV 上传优先文件。据Kroll称，Exmatter 在Conti 的行动中发挥了关键作用，迅速窃取工程数据和专有数据，以增加勒索压力。

Rclone：利用云存储

Rclone是一款开源工具，因其能够融入合法网络活动而受到勒索软件组织的青睐。它将本地文件与Mega、Google Drive或Dropbox等云服务同步。Rclone 可以加密文件并支持分块传输，以实现隐秘传输。Rclone 曾被用于多起LockBit和BlackByte攻击，并因其在 2022 年从医疗保健目标窃取数据方面所发挥的作用而受到CISA的重点关注。

点对点（P2P）数据传输

高级攻击者会使用 P2P 方法，例如Tox 协议，这是一种加密的去中心化通信平台，没有中央服务器。这使得监控和阻止变得困难。在2020 年的一次 Maze 攻击中，Tox 被编写脚本，将窃取的数据库分段传输，确保在保持匿名的同时完成传输。

另一种方法是使用种子下载。像REvil这样的组织会创建窃取数据的文件，并通过qBittorrent.torrent等客户端进行播种。在 2021 年 JBS Foods 攻击中，REvil 通过种子窃取财务记录，并利用 BitTorrent 的分布式设计掩盖其目的地。

攻击者通常使用WinRAR或7-Zip压缩文件，将其暂存，并通过主文件表 (MFT)C:Temp跟踪文件交互，以实现隐蔽性和高效性。据观察， Conti在 2024 年使用 MFT 解析来优先处理高价值文件。

系统锁定：加密技术

一旦数据被盗，攻击者就会部署加密技术来瘫痪操作并最大限度地发挥影响力。

混合加密

大多数勒索软件（包括LockBit 3.0）都采用混合方法：

• ChaCha20（对称）加密文件内容。

• RSA-2048（非对称）加密 ChaCha20 密钥。

每个文件都有一个唯一的 ChaCha20 密钥，其 RSA 加密副本存储在赎金票据中（例如）。这种方法在REvil-JBS 攻击.README.txt中得到了证实，该攻击中肉类加工系统被加密。

半加密

为了加快操作速度，攻击者通常会对文件进行部分加密。例如， LockBit 3.0会加密大文件（>1MB）中每 5,000 个字节的前 5 个字节，使其损坏到刚好无法使用。

ZIP 头损坏

攻击者以 ZIP 压缩包内的元数据为目标，仅加密中心目录结构。否则，即使内容完好无损，压缩包也无法恢复。LockBit 2.0在 2021 年针对一家美国制造商的攻击中就采用了这种方法。

稀疏文件加密

对于像 SQL 数据库这样的大型文件，攻击者会使用稀疏加密，仅针对关键数据段。DarkSide在2021 年的 Colonial Pipeline 攻击中就使用了这种技术，以极短的处理时间加密了超过 100GB 的数据。

备份销毁

为了阻止恢复，攻击者使用 Windows 内置工具（如和）删除卷影副本。据CISA称， LockBit 3.0在 2023 年的一次医疗保健事件中被发现执行了此操作。

通过域控制器部署 GPO

拥有域管理员权限的攻击者使用组策略对象 (GPO)在整个网络中部署勒索软件。这种技术是Conti 2021 年攻击活动的核心。

结论

数据泄露和加密是勒索软件攻击的最终阶段，通常也是最具破坏性的阶段。到了这个阶段，攻击者已经渗透到环境，提升了权限，并绘制了关键资产的分布图。上述策略表明，现代勒索软件团伙不仅受经济利益驱动，而且技术精湛，他们混合使用定制恶意软件、开源实用程序和隐秘的传输协议，以最大限度地对受害者施加压力。